beebright - stock.adobe.com
Seis prioridades para los nuevos CISO en sus primeros 30 días
Estas son seis decisiones urgentes que el nuevo director de seguridad en una empresa debería tomar, según Lumu Technologies.
El tiempo promedio de permanencia de un CISO (director de seguridad de la información) en una empresa es de 26 meses, según un estudio de Nominet, y con la baja oferta de talento en la industria de la ciberseguridad, esto no debería ser una sorpresa. Bajo su dirección, las empresas deben enfrentar grandes desafíos: el ransomware, los cambios repentinos en el modelo de trabajo en las organizaciones (producto de la pandemia), la gran cantidad de alertas de vulnerabilidades y el incremento en el nivel de ataques, entre otros.
Para quienes están asumiendo el cargo de CISO, el desafío es aún mayor, ya que deben evaluar rápidamente el estado de la ciberseguridad de la organización para así tomar medidas inmediatas.
La compañía de ciberseguridad Lumu Technologies, creadora del modelo de evaluación continua del compromiso, identificó los seis principales objetivos que los directores de seguridad deberían trazarse durante su primer mes de trabajo:
1. Entender los riesgos conocidos y trabajar para comprender los ocultos. Es importante conocer dónde está la organización en términos de riesgos. Esto incluye comprender dónde están los compromisos identificados y qué tipo de acciones se ha hecho para minimizarlos; luego será necesario enfocarse en identificar los que aún no se han podido determinar. Para Rubén Bayud, director de ventas para Latinoamérica de Lumu Technologies, «el mayor riesgo está en lo que no sabemos. Sin conocer nuestro panorama real de ataques, los planes de mejora no serán medibles y las decisiones que tomemos podrían ir en contravía con la realidad a la que nos enfrentamos».
2. Conocer la superficie de ataques. Independientemente del sector en el que se encuentre la empresa, comprender el escenario al que están expuestos es crucial. Saber qué tipo de exposición tiene su sitio web, las aplicaciones móviles, así como cuántos dispositivos hay en la empresa, qué tipo de sistemas manejan, dónde están ubicados y el peligro asociado a cada uno de estos. El primer paso es hacer una identificación y recuento de activos, y el impacto que pueden tener para el negocio de la organización.
3. Evaluar recursos y presupuesto. Este punto se puede analizar desde dos perspectivas:
- Talento Humano: La ciberseguridad es un área que está en constante evolución, por lo que es importante saber qué habilidades hay en la empresa, cuánto tiempo llevan, qué talentos hay, dónde hay oportunidades de capacitación y desarrollo del personal. El objetivo es identificar las brechas que existen y lo que se necesita para defender la organización de manera eficiente en el corto, mediano y largo plazo.
- Activos tecnológicos: Los CISO tienen la tarea de evaluar las herramientas con las que cuentan, saber cuáles agregan valor y cuáles están obsoletas, pero lo más importante es identificar cómo están alineadas con la evolución del negocio. «En muchas ocasiones, los equipos de seguridad compran soluciones por motivos tecnológicos porque los analistas de la industria las recomiendan, o porque es una tendencia de la industria. Sin embargo, lo importante es tener claro que la ciberseguridad existe como una necesidad de protección empresarial y este debería ser el foco de la gestión», explica Bayud.
4. Conocer a socios y proveedores. Es clave saber quiénes son sus aliados. Contar con un verdadero apoyo hace la diferencia cuando hay que enfrentar un compromiso. Resulta necesario saber a tiempo quiénes solo tienen la intención de vender, qué tecnologías están evolucionando para resolver problemas fundamentales en ciberseguridad y quién realmente está comprometido por luchar por la empresa.
5. Estar en alerta. Esta actitud permite al CISO desarrollar un plan para los 90, 180 días y para el próximo año. Este es un ciclo que se repite constantemente como resultado de la capacidad de los ciberataques para evolucionar constantemente.
6. Implementar tácticas para encontrar amenazas. El CISO debe actuar bajo el supuesto de que el atacante puede estar dentro de la organización y actuar decididamente para detectarlo antes de que haga daño. «Este es un tema crítico para la sobrevivencia del negocio. Muchas veces se enfocan en lo superficial del negocio cuando lo importante es tener iniciativas que busquen continua e intencionalmente al adversario», expresa Bayud.
Las responsabilidades del CISO en las empresas son muy grandes, resalta el ejecutivo. Sin embargo, la información que se necesita para tomar decisiones usualmente existe, por lo que el objetivo debe ser hacer todo lo posible para acceder a los datos precisos con los cuales poder tomar decisiones empresariales razonables y aceptables.